proxima Куча файлов, даже фильмов, переименована в *.Bpant

[skyinfire]

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txt

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[safety]

Добавьте, пожалуйста, 

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

 

Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено 6 часов назад пользователем safety

[skyinfire]

Помощник сделает, сюда пришлет.

 

[safety]

59 минут назад, skyinfire сказал:

Помощник сделает, сюда пришлет.

Помощник или посредник?

[skyinfire]

Помощник, у него доступ.

Вот файлы

 

Addition.txt FRST.txt scoped_dir6536_1417570733.zip

Изменено 2 часа назад пользователем skyinfire

[safety]

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

 

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

 

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

[skyinfire]

1 час назад, safety сказал:

C:\Program Files (x86)\KillUpdate.exe

не нашел, где там логи сохранять, но вирусов нет (0/67).

 

А вот тут нашелся вирус в файлах на C:\Users\Гость\

https://disk.yandex.ru/d/S63k5sRLl--7sg